روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ مشتری گوشی خود را نزدیک ترمینال پوز نگه میدارد اما پرداخت بدون تماس کار نمیکند. دلیل چیست؟ شاید خود دستگاه آسیب دیده یا شاید تراشه خوانشگر NFC کار نمیکند اما ممکن است دلیل چیز دیگری هم باشد: پایانه POS ممکن است به بدافزار Prilex که کارش شکار کارتهای بانکی است آلوده شده باشد و حالا قادر شده تراکنشهای بدون تماس را مسدود کند. با ما همراه بمانید تا به چند و چون این ماجرا بپردازیم.
Prilex چیست و چرا تراکنشهای انافسی را مسدود میکند؟
پریلکس یک گروه کلاهبرداری است که از سال 2014 دادههای کارت بانکی را شکار میکند. این اواخر تمرکز خود را روی حملاتی از طریق پایانههای پوز گذاشته است. اواخر سال 2022 متخصصین تیم GReAT بررسی جامعی روی سیر تکاملی این بدافزار انجام دادند و به این نتیجه رسیدند که Prilex یکی از اولین گروههایی بوده که طریقه شبیهسازی تراکنشهای کارت اعتباری را –حتی آنهایی که از طریق فناوری تراشه و پین محافظت میشوند- یاد گرفته است. اما پریلکس به همینجا بسنده نکرده و همچنان به رشد و تکامل خود ادامه میدهد: متخصصین ما حین بررسی رخداد به چند نمونه جدید از این بدافزار برخورد کردند. یکی از ابداعات بکاررفته توانایی در بلاک کردن تراکنشها از طریق انافسی بوده است. تراکنشهای مبتنی بر NFC میتوانند شناساگر منحصر به فردی را که فقط برای یک تراکنش معتبر است تولید کنند- چیزی که ممکن است به مذاق اسکمر خوش نیاید! پس با جلوگیری از پرداخت بدون تماس، مهاجمین سعی دارند مشتری را قانع کنند که کارت خود را به دستگاه بزنند.
چطور پریلکس پایانههای پوز را آلوده میکند و شکارش چیست؟
طبق گزارش تیم ما، مهاجمین از متودهای مهندسی اجتماعی برای آلوده کردن یک ترمینال استفاده میکنند. معمولاً آنها سعی دارند کارمندان فروشگاه خردهفروشی را متقاعد کنند که فوراً نرمافزارهای ترمینال خود را به روز کنند. برای انجام این کار آنها آمادهاند تا متخصص فنی خود را مستقیم به فروشگاه اعزام کنند یا دست کم از کارمندان بخواهند تا به متخصص فنیشان اجازه دسترسی ریموت دهند (با نصب برنامه AnyDesk). گروه Prilex به سازمانهایی که در حوزه تجارت خردهفروشی فعالیت دارند علاقمند است؛ همانهایی که از ترمینالهای پوز استفاده میکنند. بیشترین علاقه آنها به دستگاههایی که در فروشگاههای زنجیرهای بزرگ در شهرهای بزرگ عمل میکنند: هزاران کارت روزانه از این ترمینالها رد میشوند! فعالین Prilex بیشتر در منطقه LatAm مشاهده شده است اما مجرمان سایبری مدرن اغلب ابزارها را از هم قرض میگیرند پس ممکن است همین بدافزار در مناطق دیگر هم مورد استفاده قرار گیرد. در واقع این شواهد وجود دارد که این بدافزار (یا دست کم این فناوری) در آلمان نیز به کار رفته است.
راهکارهای امنیتی
اگر در فروشگاه خرودهفروشی کار میکنید و متوجه شدید ترمینال شروع کرده به پس زدن پرداختهای بدون تماس، شاید دلیل خوبی باشد که با کارمندان بخش آیتی خود تماس بگیرید. اگر مشکل جزئی باشد شاید نیروی آیتی با رفع مشکل در بخش سختافزاری قضیه را حل و فصل کنند اما اگر ماجرا آلودگی به بدافزار باشد باید از تیم امنیتی یا متخصصین طرف سوم درخواست کمک کرد. شرکتهای خردهفروشی نیز (خصوصاً شبکههای بزرگ که چندین شعبه دارند) مهم است که رگولاسیونهای داخلی خود را پیشرفته کنند و به همه کارمندان خود توضیح دهند چطور پشتیبانی فنی باید کار کند. این دست کم جلوی دسترسیهای غیرقانونی به پایانههای پوز را میگیرد. افزون بر این، افزایش سطح آگاهی کارمندان در مورد جدیدترین تهدیدهای سایبری همیشه ایده خوبیست: بدینترتیب آنها خیلی کمتر در معرض ترفندهای جدید مهندسی اجتماعی قرار میگیرند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
